ProHoster > Blog > internetske vijesti > Izdanje Apache 2.4.53 http poslužitelja s eliminacijom opasnih ranjivosti

Izdanje Apache 2.4.53 http poslužitelja s eliminacijom opasnih ranjivosti

Objavljen je Apache HTTP poslužitelj 2.4.53 koji uvodi 14 promjena i uklanja 4 ranjivosti:

  • CVE-2022-22720 - mogućnost izvođenja napada "HTTP Request Smuggling", koji omogućuje, slanjem posebno dizajniranih zahtjeva klijenta, upadanje u sadržaj zahtjeva drugih korisnika koji se prenose putem mod_proxy (na primjer, možete postići umetanje zlonamjernog JavaScript koda u sesiju drugog korisnika stranice). Problem je uzrokovan ostavljanjem otvorenih dolaznih veza nakon što se tijekom obrade nevažećeg tijela zahtjeva pojave pogreške.
  • CVE-2022-23943 Prelijevanje međuspremnika u modulu mod_sed dopušta da se sadržaj memorije gomile prebriše podacima koje kontrolira napadač.
  • CVE-2022-22721 Postoji moguće pisanje izvan granica zbog prekoračenja cijelog broja do kojeg dolazi prilikom prosljeđivanja tijela zahtjeva većeg od 350 MB. Problem se pojavljuje na 32-bitnim sustavima u čijim je postavkama postavljena previsoka vrijednost LimitXMLRequestBody (standardno 1 MB, za napad ograničenje mora biti veće od 350 MB).
  • CVE-2022-22719 je ranjivost u modulu mod_lua koja dopušta nasumično čitanje memorije i rušenje procesa prilikom obrade posebno izrađenog tijela zahtjeva. Problem je uzrokovan upotrebom neinicijaliziranih vrijednosti u kodu funkcije r:parsebody.

Najznačajnije nesigurnosne promjene:

  • U mod_proxy je povećano ograničenje broja znakova u imenu radnika (radnika). Dodana je mogućnost selektivnog konfiguriranja vremenskih ograničenja za pozadinu i sučelje (na primjer, u vezi s radnikom). Za zahtjeve poslane putem web-utičnica ili metode CONNECT, vrijeme čekanja promijenjeno je na maksimalnu vrijednost postavljenu za pozadinu i sučelje.
  • Obrada otvaranja DBM datoteka i učitavanja DBM drajvera je odvojena. U slučaju kvara, zapisnik sada prikazuje detaljnije informacije o pogrešci i upravljačkom programu.
  • mod_md je prestao obrađivati ​​zahtjeve prema /.well-known/acme-challenge/ osim ako postavke domene nisu izričito omogućile korištenje vrste provjere 'http-01'.
  • Mod_dav je popravio regresiju koja je uzrokovala veliku potrošnju memorije pri rukovanju velikim brojem resursa.
  • Dodana mogućnost korištenja knjižnice pcre2 (10.x) umjesto pcre (8.x) za obradu regularnih izraza.
  • Dodana je podrška za analizu anomalija za LDAP protokol za filtre zahtjeva za ispravan prikaz podataka prilikom pokušaja izvođenja napada LDAP zamjenom.
  • U mpm_eventu eliminiran je zastoj koji se javlja prilikom ponovnog pokretanja ili prekoračenja ograničenja MaxConnectionsPerChild na jako opterećenim sustavima.

Izvor: opennet.ru

Dodajte komentar